Notas sobre as páginas da Web de desenvolvimento ASP são recomendadas no blog Rainman_net
Palavras -chave Asp Desenvolvimento da Web é importante ter em mente
Fonte
Nunca acredite que o conteúdo inserido pelo usuário seja do tamanho certo ou contém os caracteres certos. A entrada do usuário deve sempre ser validada antes de usá -la para tomar decisões. A melhor opção é criar um componente COM+ para que você possa chamá -lo na página ASP para verificar a entrada do usuário. Você também pode usar o método server.htmlencode, o método server.urlencode ou um dos exemplos de código na parte inferior desta página.
Não crie cadeias de conexão de banco de dados nas páginas ASP conectando strings inseridos pelo usuário. Usuários maliciosos podem obter acesso ao banco de dados inserindo código em sua entrada. Se você estiver usando um banco de dados SQL, use procedimentos armazenados para criar uma string de conexão de banco de dados.
Não use o nome padrão da conta do Administrador SQL SA. Todo usuário que usa o SQL sabe que a conta SA existe. Crie outra conta de gerenciamento SQL com uma senha segura e confiável e exclua a conta SA.
Antes de armazenar senhas de usuário do cliente, use um algoritmo de hash, codificação BASE64 para essas senhas ou use o server.htmlencode ou server.urlencode para codificação. Você também pode usar um exemplo de código na parte inferior desta página para verificar os caracteres na senha do cliente.
Não coloque o nome da conta administrativa ou senha em scripts administrativos ou páginas ASP.
Não tome decisões no código com base no título solicitado, porque os dados do título podem ser forjados por usuários maliciosos. Sempre codifique os dados solicitados ou use o seguinte exemplo de código para verificar os caracteres que ele contém.
Não armazene dados seguros em cookies ou ocultar campos de entrada nas páginas da web.
Sempre use a camada de soquetes seguros (SSL) para aplicativos baseados em sessão para evitar o risco de enviar cookies de sessão sem criptografá-los. Se o cookie da sessão não for criptografado, um usuário malicioso poderá usar o cookie da sessão em um aplicativo para inserir outro aplicativo no mesmo processo que ele.
Ao escrever aplicativos ISAPI, filtros ou objetos COM+, esteja ciente dos transbordamentos de buffer devido ao tamanho de variáveis e dados. Observe também os problemas de normalização que podem ser causados pela interpretação, como interpretar nomes de caminhos absolutos como nomes de caminho relativos ou URLs.
O token simulado ficará desatualizado quando um aplicativo ASP em execução em uma única unidade rosqueada (STA) mudar para uma unidade multi-threaded (MTA). Isso pode fazer com que o aplicativo seja executado sem simulação, permitindo que ele seja executado de maneira eficaz com uma identidade que possa permitir o acesso a outros recursos. Se você precisar alternar o modelo de rosqueamento, desative o aplicativo e desinstalá -lo antes de fazer a alteração.